La web de Oscar Gamarra Rodriguez
www.oscargamarrarodriguez.com
ATENCIÓN: SI AL FINAL DE ESTA SECCIÓN SE VE ESTA IMAGEN, SIGNIFICA QUE HAY MAS INFORMACION DEL TEMA…
Sígueme en este blog para saber todas mis nuevas publicaciones
(parte inferior derecha botón “seguir”)
Entrada en vigor: 16/05/2021.
Ley orgánica de protección de datos personales España
Para tu información en www.oscargamarrarodriguez.com
Mediante esta Ley Orgánica se incorpora al ordenamiento jurídico español la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.
Disposición final duodécima. Entrada en vigor.
Esta Ley Orgánica entrará en vigor a los veinte días de su publicación en el «Boletín Oficial del Estado».
No obstante, las previsiones contenidas en el capítulo IV producirán efectos a los seis meses de la entrada en vigor de la Ley Orgánica.
Por tanto,
Mando a todos los españoles, particulares y autoridades, que guarden y hagan guardar esta ley orgánica.
Madrid, 26 de mayo de 2021.
Esta ley tiene el carácter de Ley Orgánica. No obstante, tienen carácter ordinario:
a) El capítulo VI.
b) El capítulo VII.
c) El capítulo VIII.
d) Las disposiciones finales segunda, sexta, séptima y octava.
Disposición final décima. Título competencial.
Esta Ley Orgánica se dicta al amparo de las reglas 1.ª, 6.ª, 18.ª y 29.ª del artículo 149.1 de la Constitución, que atribuyen al Estado las competencias exclusivas, respectivamente, para la regulación de las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales; respecto a las bases del régimen jurídico de las Administraciones Públicas, el procedimiento administrativo común y en relación al sistema de responsabilidad de todas las Administraciones públicas; sobre legislación penal, penitenciaria, procesal; y en materia de seguridad pública.
Se modifica el artículo 68 que queda redactado como sigue:
«Artículo 68. Matrículas.
1. Para poner en circulación vehículos a motor, así como remolques de masa máxima autorizada superior a la que reglamentariamente se determine, es preciso matricularlos y que lleven las placas de matrícula con los caracteres que se les asigne del modo que se establezca. Esta obligación será exigida a los ciclomotores en los términos que reglamentariamente se determine.
2. Deben ser objeto de matriculación definitiva en España los vehículos a los que se refiere el apartado anterior, cuando se destinen a ser utilizados en el territorio español por personas o entidades que sean residentes en España o que sean titulares de establecimientos situados en España. Reglamentariamente se establecerán los plazos, requisitos y condiciones para el cumplimiento de esta obligación y las posibles exenciones a la misma.
3. La matriculación ordinaria será única para cada vehículo, salvo en los supuestos que se determinen reglamentariamente. Cuando concurran circunstancias que puedan afectar a la Seguridad Nacional, el Secretario de Estado de Seguridad podrá autorizar una nueva matrícula distinta de la inicialmente asignada. Este tipo de matrículas no serán públicas en el Registro General de Vehículos e, incluso en circunstancias excepcionales, podrá utilizarse una titularidad supuesta en el marco de la actuación de las Fuerzas y Cuerpos de Seguridad y del Centro Nacional de Inteligencia en el tráfico jurídico.
4. En casos justificados, la autoridad competente para expedir el permiso de circulación podrá conceder permisos de circulación temporales y provisionales en los términos que se determine reglamentariamente.»
Se modifica el artículo 69 que queda redactado como sigue:
«Artículo 69. Régimen Jurídico.
1. El ejercicio de la potestad sancionadora en materia de seguridad privada se regirá por lo dispuesto en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y sus disposiciones de desarrollo, sin perjuicio de las especialidades que se regulan en este título.
2. El procedimiento caducará transcurridos seis meses desde su incoación sin que se haya notificado la resolución, debiendo, no obstante, tenerse en cuenta en el cómputo las posibles paralizaciones por causas imputables al interesado o la suspensión que debiera acordarse por la existencia de un procedimiento judicial penal, cuando concurra identidad de sujeto, hecho y fundamento, hasta la finalización de éste.
3. Iniciado el procedimiento sancionador, el órgano que haya ordenado su incoación podrá adoptar las medidas cautelares necesarias para garantizar su adecuada instrucción, así como para evitar la continuación de la infracción o asegurar el pago de la sanción, en el caso de que ésta fuese pecuniaria, y el cumplimiento de la misma en los demás supuestos.
4. Dichas medidas, que deberán ser congruentes con la naturaleza de la presunta infracción y proporcionadas a la gravedad de la misma, podrán consistir en:
a) La ocupación o precinto de vehículos, armas, material o equipo prohibido, no homologado o que resulte peligroso o perjudicial, así como de los instrumentos y efectos de la infracción.
b) La retirada preventiva de las autorizaciones, habilitaciones, permisos o licencias, o la suspensión, en su caso, de la eficacia de las declaraciones responsables.
c) La suspensión de la habilitación del personal de seguridad privada y, en su caso, de la tramitación del procedimiento para el otorgamiento de aquélla, mientras dure la instrucción de expedientes por infracciones graves o muy graves en materia de seguridad privada.
También podrán ser suspendidas las indicadas habilitación y tramitación, hasta tanto finalice el proceso por delitos contra dicho personal.
5. Las medidas cautelares previstas en los párrafos b) y c) del apartado anterior no podrán tener una duración superior a un año.»
Se modifica el artículo 30 que queda redactado como sigue:
«Artículo 30. Procedimiento sancionador.
1. El ejercicio de la potestad sancionadora a la que se refiere este título, se regirá por lo dispuesto en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y sus disposiciones de desarrollo, sin perjuicio de las especialidades que se regulan en este título.
2. El procedimiento caducará transcurridos seis meses desde su incoación sin que se haya notificado la resolución, debiendo, no obstante, tenerse en cuenta en el cómputo las posibles paralizaciones por causas imputables al interesado o la suspensión que debiera acordarse por la existencia de un procedimiento judicial penal, cuando concurra identidad de sujeto, hecho y fundamento, hasta la finalización de éste.»
Se modifica el artículo 10 que queda redactado como sigue:
«1. Los momentos en los que las compañías aéreas deben transmitir los datos PNR a la UIP serán los siguientes:
a) Entre las 24 y las 48 horas antes de la hora de salida programada del vuelo, e
b) inmediatamente después del cierre del vuelo, una vez que los pasajeros hayan embarcado en el avión en preparación de la salida y no sea posible embarcar o desembarcar.
Las compañías aéreas podrán limitar esta transmisión prevista en el párrafo b) a las actualizaciones de la información transmitida conforme al párrafo a).
2. El Proveedor de Servicios de Navegación Aérea en el espacio aéreo de soberanía española, comunicará a la UIP los cambios de destino, así como las escalas no programadas que le sean notificados por la tripulación de la aeronave o por otro Proveedor de Servicios de Navegación Aérea».
3. Además, cuando sea necesario acceder a los datos PNR para responder a una amenaza real y concreta relacionada con delitos de terrorismo o con delitos graves, en momentos distintos de los previstos en el apartado 1, todos los sujetos obligados, caso por caso, deberán transmitir a la UIP dichos datos con carácter inmediato al requerimiento recibido.»
Uno. Se incluye un nuevo apartado 5 en el artículo 2 con la siguiente redacción:
«Artículo 2.
5. El tratamiento de datos llevado a cabo con ocasión de la tramitación por el Ministerio Fiscal de los procesos de los que sea competente, así como el realizado con esos fines dentro de la gestión de la Oficina Fiscal, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente Ley Orgánica, sin perjuicio de las disposiciones de la Ley 50/1981, de 30 de diciembre, reguladora del Estatuto Orgánico del Ministerio Fiscal, la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial y de las normas procesales que le sean aplicables.»
Dos. Se modifica el apartado 3 del artículo 44, que queda redactado como sigue:
«Artículo 44.
3. La Agencia Española de Protección de Datos, el Consejo General del Poder Judicial y en su caso, la Fiscalía General del Estado, colaborarán en aras del adecuado ejercicio de las respectivas competencias que la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, les atribuye en materia de protección de datos personales en el ámbito de la Administración de Justicia.»
Tres. Se modifica la disposición adicional decimoquinta que queda redactada como sigue:
«Disposición adicional decimoquinta. Requerimiento de información por parte de la Comisión Nacional del Mercado de Valores.
Cuando no haya podido obtener por otros medios la información necesaria para realizar sus labores de supervisión e inspección relacionadas con la detección de delitos graves, la Comisión Nacional del Mercado de Valores podrá recabar de los operadores que presten servicios de comunicaciones electrónicas disponibles al público y de los prestadores de servicios de la sociedad de la información, los datos que obren en su poder relativos a la comunicación electrónica o servicio de la sociedad de la información proporcionados por dichos prestadores que sean distintos a su contenido y resulten imprescindibles para el ejercicio de dichas labores.
La cesión de estos datos requerirá la previa obtención de autorización judicial otorgada conforme a las normas procesales.»
Los artículos que se relacionan quedarán modificados en los términos siguientes:
Uno. El artículo 234 queda redactado como sigue:
«Artículo 234.
1. Los Letrados de la Administración de Justicia y funcionarios competentes de la oficina judicial y de la oficina fiscal facilitarán a los interesados cuanta información soliciten sobre el estado de las actuaciones procesales, que podrán examinar y conocer, salvo que sean o hubieren sido declaradas secretas o reservadas conforme a la ley.
2. Las partes y cualquier persona que acredite un interés legítimo y directo tendrán derecho a obtener, en la forma dispuesta en las leyes procesales y, en su caso, en la Ley 18/2011, de 5 de julio, reguladora del uso de las tecnologías de la información y la comunicación en la Administración de Justicia, copias simples de los escritos y documentos que consten en los autos, no declarados secretos ni reservados. También tendrán derecho a que se les expidan los testimonios y certificados en los casos y a través del cauce establecido en las leyes procesales.»
Dos. El artículo 235 queda redactado como sigue:
«Artículo 235.
El acceso a las resoluciones judiciales, o a determinados extremos de las mismas, o a otras actuaciones procesales, por quienes no son parte en el procedimiento y acrediten un interés legítimo y directo, podrá llevarse a cabo previa disociación, anonimización u otra medida de protección de los datos de carácter personal que las mismos contuvieren y con pleno respeto al derecho a la intimidad, a los derechos de las personas que requieran un especial deber de tutela o a la garantía del anonimato de las víctimas o perjudicados, cuando proceda.»
Tres. El artículo 235 bis queda redactado como sigue:
«Artículo 235 bis.
1. Es público el acceso a los datos personales contenidos en los fallos de las sentencias firmes condenatorias, cuando se hubieren dictado en virtud de los delitos previstos en los siguientes artículos:
a) Los artículos 305, 305 bis y 306 de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
b) Los artículos 257 y 258 de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, cuando el acreedor defraudado hubiese sido la Hacienda Pública.
c) El artículo 2 de la Ley Orgánica 12/1995, de 12 de diciembre, de Represión del Contrabando, siempre que exista un perjuicio para la Hacienda Pública estatal o de la Unión Europea.
2. En los casos previstos en el apartado anterior, el Letrado de la Administración de Justicia emitirá certificado en el que se harán constar los siguientes datos:
a) Los que permitan la identificación del proceso judicial.
b) Nombre y apellidos o denominación social del condenado y, en su caso, del responsable civil.
c) Delito por el que se le hubiera condenado.
d) Las penas impuestas.
e) La cuantía correspondiente al perjuicio causado a la Hacienda Pública por todos los conceptos, según lo establecido en la sentencia.
Mediante diligencia de ordenación el Letrado de la Administración de Justicia ordenará su publicación en el «Boletín Oficial del Estado».
3. Lo dispuesto en este artículo no será de aplicación en el caso de que el condenado o, en su caso, el responsable civil, hubiera satisfecho o consignado en la cuenta de depósitos y consignaciones del órgano judicial competente la totalidad de la cuantía correspondiente al perjuicio causado a la Hacienda Pública por todos los conceptos, con anterioridad a la firmeza de la sentencia.»
Cuatro. El artículo 236 queda redactado como sigue:
«Artículo 236.
La publicidad de los edictos se realizará a través del Tablón Edictal Judicial Único, en la forma en que se disponga reglamentariamente, incluyendo los datos estrictamente necesarios para cumplir con su finalidad.»
Cinco. El artículo 236 bis queda redactado como sigue:
«Artículo 236 bis.
1. El tratamiento de los datos personales podrá realizarse con fines jurisdiccionales o no jurisdiccionales. Tendrá fines jurisdiccionales el tratamiento de los datos que se encuentren incorporados a los procesos que tengan por finalidad el ejercicio de la actividad jurisdiccional.
2. El tratamiento de los datos personales en la Administración de Justicia se llevará cabo por el órgano competente y, dentro de él, por quien tenga la competencia atribuida por la normativa vigente.»
Seis. El artículo 236 ter queda redactado como sigue:
«Artículo 236 ter.
1. El tratamiento de los datos personales llevado a cabo con ocasión de la tramitación por los órganos judiciales y fiscalías de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina judicial y fiscal, se regirá por lo dispuesto en el Reglamento (UE) 2016/679, la Ley Orgánica 3/2018 y su normativa de desarrollo, sin perjuicio de las especialidades establecidas en el presente Capítulo y en las leyes procesales.
2. En el ámbito de la jurisdicción penal, el tratamiento de los datos personales llevado a cabo con ocasión de la tramitación por los órganos judiciales y fiscalías de los procesos, diligencias o expedientes de los que sean competentes, así como el realizado dentro de la gestión de la Oficina judicial y fiscal, se regirá por lo dispuesto en la Ley Orgánica de protección de datos personales tratados con fines de prevención, detección, investigación o enjuiciamiento de infracciones penales y de ejecución de sanciones penales, sin perjuicio de las especialidades establecidas en el presente Capítulo y en las leyes procesales y, en su caso, en la Ley 50/1981, de 30 de diciembre, por la que se regula el Estatuto Orgánico del Ministerio Fiscal.
3. No será necesario el consentimiento del interesado para que se proceda al tratamiento de los datos personales en el ejercicio de la actividad jurisdiccional, ya sean éstos facilitados por las partes o recabados a solicitud de los órganos competentes, sin perjuicio de lo dispuesto en las normas procesales para la validez de la prueba.»
Siete. El artículo 236 quáter queda redactado como sigue:
«Artículo 236 quáter.
Cuando se proceda al tratamiento con fines no jurisdiccionales se estará a lo dispuesto en el Reglamento (UE) 2016/679, la Ley Orgánica 3/2018 y su normativa de desarrollo.»
Ocho. El artículo 236 quinquies queda redactado como sigue:
«Artículo 236 quinquies.
1. Las resoluciones y actuaciones procesales deberán contener los datos personales que sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, en especial para garantizar el derecho a la tutela judicial efectiva, sin que, en ningún caso, pueda producirse indefensión.
2. Los Jueces y Magistrados, los Fiscales y los Letrados de la Administración de Justicia, conforme a sus competencias, podrán adoptar las medidas que sean necesarias para la supresión de los datos personales de las resoluciones y de los documentos a los que puedan acceder las partes durante la tramitación del proceso siempre que no sean necesarios para garantizar el derecho a la tutela judicial efectiva, sin que, en ningún caso, pueda producirse indefensión.
3. Los datos personales que las partes conocen a través del proceso deberán ser tratados por éstas de conformidad con la normativa general de protección de datos. Esta obligación también incumbe a los profesionales que representan y asisten a las partes, así como a cualquier otro que intervenga en el procedimiento.
4. Se deberán comunicar a los órganos competentes dependientes del Consejo General del Poder Judicial, de la Fiscalía General del Estado y del Ministerio de Justicia, en lo que proceda, los datos tratados con fines jurisdiccionales que sean estrictamente necesarios para el ejercicio de las funciones de inspección y control establecidas en esta Ley, y su normativa de desarrollo. También se deberán facilitar los datos tratados con fines no jurisdiccionales cuando ello esté justificado por la interposición de un recurso o sea necesario para el ejercicio de las competencias que tengan legalmente atribuidas.
5. Las Oficinas de Comunicación establecidas en esta Ley, en el ejercicio de sus funciones de comunicación institucional, deberán velar por el respeto del derecho fundamental a la protección de datos personales de aquellos que hubieran intervenido en el procedimiento de que se trate. Para cumplir con su finalidad, podrán recabar los datos necesarios de las autoridades competentes.
6. Los Letrados de la Administración de Justicia deberán facilitar a la Abogacía del Estado los datos personales, la información y los documentos que sean requeridos para el desempeño de la representación y defensa del Reino de España ante el Tribunal Europeo de Derechos Humanos y otros órganos internacionales en materia de protección de derechos Humanos, en particular ante el Comité de Naciones Unidas. A tales efectos, se establecerán igualmente los mecanismos de comunicación con la Fiscalía General del Estado, a través de sus unidades competentes.»
Nueve. El artículo 236 sexies queda redactado como sigue:
«Artículo 236 sexies.
1. La Administración competente deberá suministrar los medios tecnológicos adecuados para que se proceda al tratamiento de los datos personales conforme a las disposiciones legales y reglamentarias.
2. La Administración competente deberá cumplir con las responsabilidades que en materia de tratamiento y protección de datos personales se le atribuya como administración prestacional.
3. Se deberán adoptar las medidas organizativas adecuadas para que la Oficina judicial y fiscal realice un adecuado tratamiento de los datos personales. Previo informe del Consejo General del Poder judicial, y, en su caso, de la Fiscalía General del Estado, el Ministerio de Justicia deberá elaborar y actualizar los códigos de conducta destinados a contribuir a la correcta aplicación de la normativa de protección de datos personales en la Oficina judicial y fiscal, adecuando los principios de la normativa general a los propios de la regulación procesal y organización de la Oficina judicial y fiscal.
4. El Ministerio de Justicia y las Comunidades Autónomas con competencias en la materia, dentro de las políticas de apoyo a la Administración de Justicia y desarrollo de la gestión electrónica de los procedimientos, podrán realizar el tratamiento de datos no personales para el ejercicio de sus competencias de gestión pública, incluyendo el desarrollo e implementación de sistemas automáticos de clasificación documental orientados a la tramitación procesal, con cumplimiento de la normativa de interoperabilidad, seguridad y protección de datos que resulte aplicable.»
Diez. El artículo 236 septies queda redactado como sigue:
«Artículo 236 septies.
1. En relación con el tratamiento de los datos personales con fines jurisdiccionales, los derechos de información, acceso, rectificación, supresión, oposición y limitación se tramitarán conforme a las normas que resulten de aplicación al proceso en que los datos fueron recabados. Estos derechos deberán ejercitarse ante los órganos judiciales, fiscalías u Oficina judicial en los que se tramita el procedimiento, y las peticiones deberán resolverse por quien tenga la competencia atribuida en la normativa orgánica y procesal.
2. En todo caso se denegará el acceso a los datos objeto de tratamiento con fines jurisdiccionales cuando las diligencias procesales en que se haya recabado la información sean o hayan sido declaradas secretas o reservadas.
3. En relación con el tratamiento de los datos personales con fines no jurisdiccionales, los interesados podrán ejercitar los derechos de información, acceso, rectificación, supresión, oposición y limitación en los términos establecidos en la normativa general de protección de datos.»
Once. El artículo 236 octies queda redactado como sigue:
«Artículo 236 octies.
1. Respecto a las operaciones de tratamiento efectuadas con fines jurisdiccionales por los Juzgados, Tribunales, Fiscalías, y las Oficinas judicial y fiscal, corresponderán al Consejo General del Poder Judicial y a la Fiscalía General del Estado, en el ámbito de sus respectivas competencias, las siguientes funciones:
a) Supervisar el cumplimiento de la normativa de protección de datos personales mediante el ejercicio de la labor inspectora otorgada en la presente Ley y el Estatuto Orgánico del Ministerio Fiscal.
b) Promover la sensibilización de los profesionales de la Administración de Justicia y su comprensión de los riesgos, normas, garantías, derechos y obligaciones en relación con el tratamiento.
c) Emitir informe sobre los códigos de conducta destinados a contribuir a la correcta aplicación de la normativa de protección de datos personales en la Oficina judicial y fiscal.
d) Previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en materia de protección de datos.
e) Tramitar y responder las reclamaciones presentadas por un interesado o por asociaciones, organizaciones y entidades que tengan capacidad procesal o legitimación para defender intereses colectivos, en los términos que determinen las leyes de aplicación al proceso en que los datos fueron recabados. Se informará al reclamante sobre el curso y resultado de la reclamación en un plazo razonable, previa realización de la investigación oportuna si se considera necesario.
2. Los tratamientos de datos con fines no jurisdiccionales estarán sometidos a la competencia de la Agencia Española de Protección de Datos, que también supervisará el cumplimiento de aquellos tratamientos que no sean competencia de las autoridades indicadas en el apartado anterior.
3. El Consejo General del Poder Judicial, la Fiscalía General del Estado y la Agencia Española de Protección de Datos colaborarán en aras del adecuado ejercicio de las respectivas competencias que la presente Ley Orgánica les atribuye en materia de protección de datos personales en el ámbito de la Administración de Justicia.
4. Cuando con ocasión de la realización de actuaciones de investigación relacionadas con la posible comisión de una infracción de la normativa de protección de datos, las autoridades competentes a las que se refieran los apartados anteriores apreciasen la existencia de indicios que supongan la competencia de otra autoridad, darán inmediatamente traslado a esta última a fin de que prosiga con la tramitación del procedimiento.»
Doce. El artículo 236 nonies, queda redactado como sigue:
«Artículo 236 nonies.
1. Las competencias que corresponden a la autoridad de protección de datos personales con fines jurisdiccionales serán ejercidas respecto del tratamiento de los mismos realizado por Juzgados y Tribunales de acuerdo con lo establecido en el artículo 236 octies, por la Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial.
2. Al frente de la Dirección de Supervisión y Control de Protección de Datos se nombrará por mayoría absoluta del Pleno del Consejo General del Poder Judicial una persona titular de la Dirección, de entre juristas de reconocida competencia con al menos quince años de ejercicio profesional y con conocimientos y experiencia acreditados en materia de protección de datos.
3. La duración del mandato de la persona titular de la Dirección de Supervisión y Control de Protección de Datos será de cinco años, no renovable. Durante su mandato permanecerá, en su caso, en situación de servicios especiales y ejercerá exclusivamente las funciones inherentes a su cargo. Sólo podrá ser cesada por incapacidad o incumplimiento grave de sus deberes, apreciados por el Pleno mediante mayoría absoluta.
4. El régimen de incompatibilidades de la persona titular de la Dirección de Supervisión y Control de Protección de Datos será el mismo que el establecido para los Magistrados al servicio de los órganos técnicos del Consejo General del Poder Judicial. La persona titular de la Dirección de Supervisión y Control de Protección de Datos deberá ejercer sus funciones con absoluta independencia y neutralidad.
5. La persona titular y el resto de personal adscrito a la Dirección de Supervisión y Control de Protección de Datos estarán sujetos al deber de secreto profesional, tanto durante su mandato como después del mismo, con relación a las informaciones confidenciales de las que hayan tenido conocimiento en el cumplimiento de sus funciones o el ejercicio de sus atribuciones. Este deber de secreto profesional se aplicará en particular a la información que faciliten las personas físicas a la Dirección de Supervisión y Control de Protección de Datos en materia de infracciones de la presente normativa.
6. La composición, organización y funcionamiento de la Dirección de Supervisión y Control de Protección de Datos será regulada reglamentariamente. El Consejo General del Poder Judicial deberá velar porque la Dirección cuente, en todo caso, con todos los medios personales y materiales necesarios para el adecuado ejercicio de sus funciones.»
Trece. El artículo 236 decies, queda redactado como sigue:
«Artículo 236 decies.
1. Los tratamientos de datos llevados a cabo por el Consejo General del Poder judicial y la Fiscalía General del Estado en el ejercicio de sus competencias quedarán sometidos a lo dispuesto en la legislación vigente en materia de protección de datos personales. Dichos tratamientos no serán considerados en ningún caso realizados con fines jurisdiccionales.
2. Las operaciones de tratamiento de datos personales del Consejo General del Poder Judicial y de los órganos integrantes del mismo serán autorizados por acuerdo del Consejo General del Poder Judicial, a propuesta de la Secretaría General, que ostentará la condición de responsable del tratamiento respecto de los mismos.
3. Las operaciones de tratamiento de datos personales de la Fiscalía General del Estado serán autorizadas según determine el Estatuto Orgánico del Ministerio Fiscal y las Instrucciones que se dicten al respecto.»
Catorce. El ordinal 19.º del apartado 1 del artículo 560 queda redactado como sigue:
«Artículo 560.
1.º (…)
19.º En materia de protección de datos personales, ejercerá las funciones definidas en el artículo 236 octies.»
Uno. Se modifica el artículo 12 para incluir en nuevo apartado n) con la siguiente redacción:
«n) La Unidad de Supervisión y Control de Protección de Datos.»
Dos. Se modifica el artículo 20 incluyendo un nuevo apartado Cuatro con la siguiente redacción:
«Cuatro. En la Fiscalía General del Estado, de igual modo, existirá la Unidad de Supervisión y Control de Protección de Datos que ejercerá las competencias que corresponden a la autoridad de protección de datos con fines jurisdiccionales sobre el tratamiento de los mismos realizado por el Ministerio Fiscal, de acuerdo con lo establecido en el artículo 236 octies de la Ley Orgánica del Poder Judicial en el ámbito de sus competencias y facultades. Su regulación se remitirá a los términos previstos en la Ley Orgánica del Poder Judicial en cuanto le sea de aplicación.
Al frente de la Unidad de Supervisión y Control de Protección de Datos se nombrará por mayoría absoluta del Pleno del Consejo Fiscal una persona titular de la Unidad, de entre juristas de reconocida competencia con al menos quince años de ejercicio profesional y con conocimientos y experiencia acreditados en materia de protección de datos.
La duración del mandato de la persona titular de la Unidad de Supervisión y Control de Protección de Datos será de cinco años, no renovable. Durante su mandato permanecerá, en su caso, en situación de servicios especiales y ejercerá exclusivamente las funciones inherentes a su cargo. Sólo podrá ser cesada por incapacidad o incumplimiento grave de sus deberes, apreciados por el Pleno mediante mayoría absoluta.
El régimen de incompatibilidades de la persona titular de la Unidad de Supervisión y Control de Protección de Datos será el mismo que el establecido para los Fiscales al servicio de los órganos técnicos de la Fiscalía General del Estado. La persona titular de la Unidad de Supervisión y Control de Protección de Datos deberá ejercer sus funciones con absoluta independencia y neutralidad.
La persona titular y el resto de personal adscrito a la Unidad de Supervisión y Control de Protección de Datos estarán sujetos al deber de secreto profesional, tanto durante su mandato como después del mismo, con relación a las informaciones confidenciales de las que hayan tenido conocimiento en el cumplimiento de sus funciones o el ejercicio de sus atribuciones. Este deber de secreto profesional se aplicará en particular a la información que faciliten las personas físicas a la Unidad de Supervisión y Control de Protección de Datos en materia de infracciones de la presente normativa.
La composición, organización y funcionamiento de la Unidad de Supervisión y Control de Protección de Datos será regulada reglamentariamente. Se deberá velar porque la Unidad cuente, en todo caso, con todos los medios personales y materiales necesarios para el adecuado ejercicio de sus funciones.»
Tres. Se modifica el artículo 14 para incluir en el apartado 4 una nueva letra l) con el contenido siguiente:
«l) Nombrar por mayoría absoluta a la persona titular de la Unidad de Supervisión y Control de Protección de Datos.»
Se introduce un nuevo artículo 15 bis en la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria, que queda redactado como sigue:
«Artículo 15 bis. Tratamientos de datos de carácter personal.
1. Admitido en el establecimiento un interno, se procederá a verificar su identidad personal, efectuando la reseña alfabética, dactilar y fotográfica, así como a la inscripción en el libro de ingresos y a la apertura de un expediente personal relativo a su situación procesal y penitenciaria, respecto del que se reconoce el derecho de acceso. Este derecho sólo se verá limitado de forma individualizada y fundamentada en concretas razones de seguridad o tratamiento.
2. El tratamiento de los datos personales de los internos se regirá por lo previsto en la Ley Orgánica de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. Los datos personales de categorías especiales que no figuren en el apartado anterior se podrán tratar con el consentimiento del interesado. Sólo se prescindirá de dicho consentimiento cuando sea estrictamente necesario y se efectúe con las garantías adecuadas para proteger el derecho a la protección de datos de los interesados, atendiendo al tipo de datos que se traten y a las finalidades de los distintos tratamientos dirigidos a la ejecución de la pena.
3. Igualmente se procederá al cacheo de su persona y al registro de sus efectos, retirándose los enseres y objetos no autorizados.
4. En el momento del ingreso se adoptarán las medidas de higiene personal necesarias, entregándose al interno las prendas de vestir adecuadas que precise, firmando el mismo su recepción.»
Quedan derogadas todas las normas de igual o inferior rango en lo que contradigan o se opongan a lo dispuesto en esta Ley Orgánica.
La duración del mandato del primer nombramiento de la persona titular de la Dirección de Supervisión y Control de Protección de datos del Consejo General del Poder Judicial será de tres años no renovable.
Las referencias contenidas en normas vigentes en relación a las disposiciones que se derogan expresamente, deberán entenderse efectuadas a los artículos de esta Ley Orgánica que regulan la misma materia que aquellas.
1. Las autoridades competentes podrán solicitar al Instituto Nacional de Estadística y a los órganos estadísticos de ámbito autonómico, sin consentimiento del interesado, una copia actualizada del fichero formado con los datos del documento de identidad, nombre, apellidos, domicilio, sexo y fecha de nacimiento que constan en el padrón municipal de habitantes y en el censo electoral correspondiente a los territorios donde ejerzan sus competencias. Esta solicitud deberá estar motivada en base a cualquiera de los fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.
2. Los datos obtenidos tendrán como único propósito el cumplimiento de los fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, así como de protección y de prevención frente a las amenazas contra la seguridad pública y la comunicación de estas autoridades con los interesados residentes en los respectivos territorios, respecto a las relaciones jurídico-administrativas derivadas de las competencias respectivas.
Los acuerdos internacionales en el ámbito de la cooperación judicial en materia penal y de la cooperación policial que impliquen la transferencia de datos personales a Estados que no sean miembros de la Unión Europea u organizaciones internacionales y que hubieran sido celebrados por España antes del 6 de mayo de 2016, cumpliendo lo dispuesto en el Derecho de la Unión Europea aplicable antes de dicha fecha, seguirán en vigor hasta que sean objeto de modificación, enmienda o terminación.
El intercambio de datos personales por parte de las autoridades competentes españolas en el interior de la Unión Europea, cuando el Derecho de la Unión Europea o la legislación española exijan dicho intercambio, no estará limitado ni prohibido por motivos relacionados con la protección de las personas físicas respecto al tratamiento de sus datos personales.
1. El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad, por los órganos competentes para la vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, para los fines previstos en al artículo 1, se regirá por esta Ley Orgánica, sin perjuicio de los requisitos establecidos en regímenes legales especiales que regulan otros ámbitos concretos como el procesal penal, la regulación del tráfico o la protección de instalaciones propias.
2. Fuera de estos supuestos, dichos tratamientos se regirán por su legislación específica y supletoriamente por el Reglamento (UE) 2016/679 y por la Ley Orgánica 3/2018, de 5 de diciembre.
1. No podrán sancionarse los hechos que hayan sido sancionados penal o administrativamente cuando se aprecie identidad de sujeto, de hecho y de fundamento.
2. En los supuestos en que las conductas pudieran ser constitutivas de delito, el órgano administrativo pasará el tanto de culpa a la autoridad judicial o al Ministerio Fiscal y se abstendrá de seguir el procedimiento sancionador mientras la autoridad judicial no dicte sentencia firme o resolución que de otro modo ponga fin al procedimiento penal, o el Ministerio Fiscal no acuerde la improcedencia de iniciar o proseguir las actuaciones en vía penal, quedando hasta entonces interrumpido el plazo de prescripción.
La autoridad judicial y el Ministerio Fiscal comunicarán al órgano administrativo la resolución o acuerdo que hubieran adoptado.
3. De no haberse estimado la existencia de ilícito penal, o en el caso de haberse dictado resolución de otro tipo que ponga fin al procedimiento penal, podrá iniciarse o proseguir el procedimiento sancionador. En todo caso, el órgano administrativo quedará vinculado por los hechos declarados probados en vía judicial.
4. Las medidas cautelares adoptadas antes de la intervención judicial podrán mantenerse mientras la autoridad judicial no resuelva otra cosa.
1. El procedimiento caducará transcurridos seis meses desde su incoación sin que se haya notificado la resolución, debiendo, no obstante, tenerse en cuenta en el cómputo las posibles paralizaciones por causas imputables al interesado o la suspensión que debiera acordarse por la existencia de un procedimiento judicial penal, cuando concurra identidad de sujeto, hecho y fundamento, hasta la finalización de este.
2. La resolución que declare la caducidad se notificará al interesado y pondrá fin al procedimiento, sin perjuicio de que la administración pueda acordar la incoación de un nuevo procedimiento en tanto no haya prescrito la infracción. Los procedimientos caducados no interrumpirán el plazo de prescripción.
1. Las infracciones administrativas tipificadas en esta Ley Orgánica prescribirán a los seis meses, a los dos o a los tres años de haberse cometido, según sean leves, graves o muy graves, respectivamente.
Los plazos señalados en esta Ley Orgánica se computarán desde el día en que se haya cometido la infracción. No obstante, en los casos de infracciones continuadas o permanentes, los plazos se computarán desde que finalizó la conducta infractora.
Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reiniciándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor.
Se interrumpirá igualmente la prescripción como consecuencia de la apertura de un procedimiento judicial penal, hasta que la autoridad judicial comunique al órgano administrativo su finalización.
2. Las sanciones impuestas por infracciones muy graves prescribirán a los tres años, las impuestas por infracciones graves, a los dos años, y las impuestas por infracciones leves al año, computados desde el día siguiente a aquel en que adquiera firmeza en vía administrativa la resolución por la que se impone la sanción.
La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.
Por la comisión de las infracciones tipificadas en esta Ley Orgánica se impondrán las siguientes sanciones:
1. En caso de que el sujeto responsable sea algunos de los enumerados en el artículo 77.1 de la Ley Orgánica 3/2018, de 5 de diciembre, se impondrán las sanciones y se adoptarán las medidas establecidas en dicho artículo.
2. En caso de que el sujeto infractor sea distinto de los señalados en el artículo 77.1 de la Ley Orgánica 3/2018, de 5 de diciembre, podrá ser sancionado, con multa de la siguiente cuantía:
a) Las infracciones muy graves, con multa de 360.001 a 1.000.000 euros.
b) Las infracciones graves, con multa de 60.001 a 360.000 euros.
c) Las leves, con multa de 6.000 a 60.000 euros.
A efectos de la determinación de la cuantía de la sanción, se tendrán en cuenta los criterios establecidos en el artículo 83.2 del Reglamento General de Protección de Datos y en el artículo 76.2 de la Ley Orgánica 3/2018, de 5 de diciembre.
El ejercicio de la potestad sancionadora, que corresponde a las Autoridades de protección de datos competentes, se regirá por lo dispuesto en el presente Capítulo, por los títulos VII y IX de la Ley Orgánica 3/2018, de 5 de diciembre, y, en cuanto no las contradigan, con carácter supletorio, por la normativa sobre procedimiento administrativo común de las Administraciones públicas y el régimen jurídico del sector público.
Son infracciones leves:
a) La afectación leve de los derechos de los interesados como consecuencia de la ausencia de la debida diligencia o del carácter inadecuado o insuficiente de las medidas técnicas y organizativas que se hubiesen implantado.
b) El incumplimiento del principio de transparencia de la información o del derecho de información del interesado establecido en el artículo 21 cuando no se facilite toda la información exigida en esta Ley Orgánica.
c) La inobservancia de la obligación de informar al interesado y a los destinatarios a los que se hayan comunicado o de los que procedan los datos personales rectificados, suprimidos o respecto de los que se haya limitado el tratamiento, conforme a lo establecido en el artículo 23.
d) El incumplimiento de la llevanza de registros de actividades de tratamiento o del registro de operaciones o que los mismos no incorporen toda la información exigida legalmente, siempre que no constituya infracción grave.
e) El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando fuera exigible legalmente.
f) La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas, a propósito del tratamiento de datos personales y de sus relaciones con los interesados, así como la inexactitud o la falta de concreción en la determinación de las mismas.
g) El incumplimiento de la obligación del encargado del tratamiento de informar al responsable del tratamiento acerca de una posible infracción de las disposiciones de esta Ley Orgánica, como consecuencia de una instrucción recibida de este.
h) La notificación incompleta o defectuosa a la autoridad de protección de datos competente de la información relacionada con una violación de seguridad de los datos personales, el incumplimiento de la obligación de documentarla o del deber de comunicar al interesado su existencia, cuando no constituya una infracción grave.
i) La aportación de información inexacta o incompleta a la autoridad de protección de datos competente, en los supuestos en los que el responsable del tratamiento deba elevarle una consulta previa.
j) La falta de publicación de los datos de contacto del delegado de protección de datos, o la ausencia de comunicación de su designación y cese a la autoridad de protección de datos competente, de conformidad con el artículo 40, cuando su nombramiento sea exigible de acuerdo con esta Ley Orgánica.
Son infracciones graves:
a) El tratamiento de los datos de carácter personal cuando se incumplan los principios del artículo 6 o las condiciones de licitud del tratamiento del artículo 11, siempre que no constituya una infracción muy grave.
b) El tratamiento de datos personales de las categorías especiales sin que concurra alguna de las circunstancias previstas en el artículo 13 o sin garantizar las medidas de seguridad adecuadas, siempre que no constituya una infracción muy grave.
c) La adopción de decisiones individuales automatizadas sin las garantías señaladas en el artículo 14, siempre que no constituya una infracción muy grave.
d) La falta de designación de un delegado de protección de datos en los términos previstos en el artículo 40 o no posibilitar la efectiva participación del mismo en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.
e) El incumplimiento de la puesta a disposición al interesado de la información prevista en el artículo 21 o del deber de comunicación al mismo, o a la autoridad de protección de datos competente, de una violación de la seguridad de los datos, que entrañe un grave perjuicio para los derechos y libertades del interesado.
f) La ausencia de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos, incluidas las medidas oportunas desde el diseño y por defecto, así como para integrar las garantías necesarias en el tratamiento.
g) El impedimento, la falta de atención o la obstaculización de los derechos del interesado de acceso, rectificación, supresión de sus datos o limitación del tratamiento, siempre que no constituya infracción muy grave.
h) El incumplimiento de la obligación de llevanza de los registros de actividades de tratamiento o del registro de operaciones de tratamiento, si se causan perjuicios de carácter grave a los interesados.
i) El incumplimiento de las estipulaciones recogidas en el contrato u acto jurídico que vincula al responsable y al encargado del tratamiento, salvo en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento, así como el incumplimiento de las obligaciones impuestas en el artículo 30.
j) La falta de colaboración diligente con las autoridades competentes en el cumplimiento de las obligaciones establecidas en el artículo 7, cuando no constituya una infracción muy grave.
k) La falta de cooperación, la actuación negligente o el impedimento de la función inspectora de las autoridades de protección de datos competentes, cuando no constituya infracción muy grave.
l) El incumplimiento de la evaluación de impacto en la protección de los datos de carácter personal, si se derivan perjuicios o riesgos de carácter grave para los interesados.
m) El tratamiento de datos personales sin haber consultado previamente a la autoridad de protección de datos competente, en los casos en que dicha consulta resulte preceptiva conforme al artículo 36.
Son infracciones muy graves:
a) El tratamiento de datos personales que vulnere los principios y garantías establecidos en el artículo 6 o sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 11, siempre que se causen perjuicios de carácter muy grave a los interesados.
b) El acceso, cesión, alteración y divulgación de los datos al margen de los supuestos autorizados por el responsable o encargado de los datos, siempre que no constituya ilícito penal.
c) La transferencia temporal o definitiva de datos de carácter personal con destino a Estados que no sean miembros de la Unión Europea o a destinatarios que no sean autoridades competentes, establecidos en dichos Estados incumpliendo las condiciones previstas en los artículos 43 y 47.
d) La utilización de los datos para una finalidad que no sea compatible con el objetivo para el que fueron recogidos o cuando no se cumplan las condiciones establecidas en el artículo 6, siempre que no se cuente con una base legal para ello.
e) El tratamiento de datos personales de las categorías especiales sin que concurra alguna de las circunstancias previstas en el artículo 13 o sin garantizar las medidas de seguridad adecuadas, que cause perjuicios graves a los interesados.
f) La omisión del deber de informar al interesado acerca del tratamiento de sus datos de carácter personal conforme a lo dispuesto en esta Ley Orgánica.
g) La vulneración del deber de confidencialidad del encargado del tratamiento, establecido en el artículo 30.
h) La adopción de decisiones individuales automatizadas sin las garantías señaladas en el artículo 14, siempre que se causen perjuicios de carácter muy grave para los interesados.
i) El impedimento, la obstaculización o la falta de atención reiterada del ejercicio de los derechos del interesado de acceso, rectificación, supresión de sus datos o limitación del tratamiento, siempre que se causen perjuicios de carácter muy grave para los interesados.
j) La negativa a proporcionar a las autoridades competentes la información necesaria para la prevención, detección, investigación y enjuiciamiento de infracciones penales, para la ejecución de sanciones penales o para la protección y prevención frente a las amenazas contra la seguridad pública de acuerdo con lo previsto en el artículo 7, así como a informar al interesado cuando se comuniquen sus datos en virtud del deber de colaboración establecido en dicho artículo.
k) La resistencia u obstrucción del ejercicio de la función inspectora de las autoridades de protección de datos competentes.
l) La falta de notificación a las autoridades de protección de datos competentes acerca de una violación de la seguridad de los datos personales, cuando sea exigible, así como la ausencia de comunicación al interesado de una violación de la seguridad cuando sea procedente de acuerdo con el artículo 39, siempre que se deriven perjuicios de carácter muy grave para el interesado.
m) El incumplimiento de las resoluciones dictadas por las autoridades de protección de datos competentes, en el ejercicio de las potestades que le confiere el artículo 50.
n) No facilitar el acceso del personal de las autoridades de protección de datos competentes a los datos personales, información, locales, equipos y medios de tratamiento, cuando sean requeridos por las mismas, en el ejercicio de sus poderes de investigación.
ñ) El incumplimiento de los plazos de conservación y revisión establecidos en virtud del artículo 8.
1. Los hechos susceptibles de ser calificados con arreglo a dos o más preceptos de esta u otra Ley, siempre que no constituyan infracciones al Reglamento General de Protección de Datos, ni a la Ley Orgánica 3/2018, de 5 de diciembre, se sancionarán observando las siguientes reglas:
a) El precepto especial se aplicará con preferencia al general.
b) El precepto más amplio o complejo absorberá el que sancione las infracciones subsumidas en aquel.
c) En defecto de los criterios anteriores, se aplicará el precepto que sancione los hechos con la sanción mayor.
2. En el caso de que un solo hecho constituya dos o más infracciones, o cuando una de ellas sea medio necesario para cometer la otra, la conducta será sancionada por aquella infracción que conlleve una mayor sanción.
1. La responsabilidad por las infracciones cometidas recaerá directamente en los sujetos obligados que, por acción u omisión, realizaran la conducta en que consista la infracción.
2. Están sujetos al régimen sancionador:
a) Los responsables de los tratamientos.
b) Los encargados de los tratamientos.
c) Los representantes de los encargados no establecidos en el territorio de la Unión Europea.
d) El resto de las personas físicas o jurídicas obligadas por el contenido del deber de colaboración establecido en el artículo 7.
3. No será de aplicación el régimen sancionador establecido en este capítulo al delegado de protección de datos.
1. Sin perjuicio de cualquier otro recurso administrativo o reclamación, toda persona física o jurídica tendrá derecho a recurrir ante la jurisdicción contencioso-administrativa, de acuerdo con su legislación reguladora, contra los actos y resoluciones dictadas por la autoridad de protección de datos competente.
2. El interesado podrá conferir su representación a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que ejerza los derechos contemplados en el apartado anterior.
La web de Oscar Gamarra Rodriguez 